民法繼承實例解說 - 臺南市政府全球資訊網 · 其他孫輩繼承人為代位繼承,但該子輩繼承人一死亡 時立即轉換為本位繼承,論理上顯得極不自然。亦即
台科大網路鑑識課程 封包分析及中繼站追蹤
-
Upload
jack51706 -
Category
Technology
-
view
236 -
download
16
Transcript of 台科大網路鑑識課程 封包分析及中繼站追蹤
![Page 1: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/1.jpg)
網路鑑識與中繼站追蹤
JACK
![Page 2: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/2.jpg)
題綱
目標
封包分析使用工具
困難點
案例分析
駭客攻防封包分析
Q&A
![Page 3: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/3.jpg)
中繼站?
駭客在從事惡意活動時,為了掩藏自己的網路位址,會透過中繼站主機,對遠端的受害電腦進行操控、破壞。
![Page 4: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/4.jpg)
中繼站功能
竊取受駭電腦資料。
遠端遙控受駭電腦,進行後續入侵之中繼站。
![Page 5: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/5.jpg)
目標
從受駭電腦追蹤中繼站來源
瞭解中繼站攻擊狀況
惡意程式類型
發掘其他受駭單位
![Page 6: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/6.jpg)
從受駭電腦開始
以netstat 檢查不尋常連線
netstat 是一個可以查詢本機網路和外界網路連線的指令,可以透過這個指令查詢得知有沒有奇怪的連線在你的機器,也可透過指令瞭解電腦連線的狀況。
![Page 7: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/7.jpg)
從受駭電腦開始
TCPView
TCPView 是一款用來監控電腦上 TCP 有及 UDP 連線情況的圖形化工具軟體,其能顯示所進出系統的連線資訊,包括連線的程序、協定、本機及遠端位址、連線狀態等。
http://ppt.cc/M43zH
![Page 8: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/8.jpg)
連線手法
Remote Access Trojan (RAT)(Port:443)
Poison Ivy
Gh0st
Bifrost
遠端桌面(Port:3389)
VPN (Port:1723,etc.)
![Page 9: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/9.jpg)
追蹤中繼站來源
分析惡意程式
動態分析
靜態分析
DNS反追IP來源
https://www.hybrid-analysis.com/
![Page 10: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/10.jpg)
從電腦LOG追查登入資訊
MyEventViewer
可協助使用者快速瀏覽、查詢電腦問題的報告,或是安全性警告及其他Windows內的事件。
Event ID 4624: An
account was
successfully
logged on
http://ppt.cc/r0RMs (32)
http://ppt.cc/quUAT (64)
![Page 11: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/11.jpg)
瞭解攻擊狀況
判斷中繼站行為
連線方式
封包特徵
有無其他受駭單位
縮小範圍
進行封包側錄
![Page 12: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/12.jpg)
封包側錄架構 待測端電腦 Switch or Router
INTERNET
待測端電腦 Switch or Router INTERNET
HUB
側錄裝置
![Page 13: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/13.jpg)
封包側錄架構
可疑電腦 NAT
INTERNET
可疑電腦
可疑電腦
可疑電腦
側錄點的選擇
Network Address Translation
![Page 14: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/14.jpg)
現場實戰
![Page 15: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/15.jpg)
現場確認
Port mirroring is used on a network switch to send a copy
of network packets seen on one switch port (or an entire VLAN)
to a network monitoring connection on another switch port.
![Page 16: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/16.jpg)
封包監聽與分析
Tcpdump.sh(LINUX) Windump.bat(WINDOWS)
![Page 17: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/17.jpg)
封包監聽與分析
![Page 18: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/18.jpg)
封包監聽與分析
DumpBinary (file analyze)
IPS analyze (attack analyze)
Multi blacklist (C&C analyze)
NetWorkMiner
Malcom
異常連線比對資訊:
技服中心惡意中繼站清單
http://malware-traffic-analysis.net/
http://myip.ms/browse/blacklist/Blacklist_IP_Blacklist_IP_Addr
esses_Live_Database_Real-time
http://vxvault.siri-urz.net/ViriList.php
http://www.malwaredomainlist.com/mdl.php
http://www.tekdefense.com/automater/
![Page 19: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/19.jpg)
使用工具
WireShark
Wireshark是一個免費開源的網路封包分析軟體。網路封包分析軟體的功能是截取網路封包,並盡可能顯示出最為詳細的網路封包資料。
![Page 20: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/20.jpg)
使用工具
NetworkMiner
NetworkMiner主要用於網路取證,它雖然可以用來擷取封包,但如何從語法分析PCAP檔案才是它的真正強項,
NetworkMiner會分析PCAP檔案並將它們分解成作業系統及主機之間的交談,甚至可以直接從中提取轉換過的檔案。
![Page 21: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/21.jpg)
使用工具
Snort
Snort是一套開放原始碼的網路入侵預防軟體與網路入侵檢測軟體。Snort使用了以偵測簽章(signature-based)與通訊協定的偵測方法。 Snort被認為是全世界最廣泛使用的入侵預防與偵測軟體。
Rules:
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"TROJAN
Malicious User-Agent"; content:"|0d 0a|User-Agent\: Wefa7e"; classtype:trojan-
activity; sid:2000001; rev:1;)
![Page 22: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/22.jpg)
使用工具
CapTipper
Malicious HTTP traffic explorer
CapTipper is a python tool to analyze, explore and revive HTTP malicious traffic.
https://github.com/omriher/CapTipper
http://ppt.cc/qEXsD (LAB1)
http://ppt.cc/JkkeO (LAB2)
![Page 23: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/23.jpg)
使用工具
SecurityOnion
Security Onion is a Linux distribution for intrusion
detection, network security monitoring, and log
management. It’s based on Ubuntu and contains Snort,
Suricata, Bro, Sguil…
http://sourceforge.net/projects/security-
onion/files/?source=navbar
https://security-onion-solutions.github.io/security-
onion/
![Page 25: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/25.jpg)
EXERCISE
NUCLEAR Exploit Kit & CRYPTOWALL MALWARE
![Page 26: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/26.jpg)
EXPLOIT INTRODUCTION
ExploitKit is a toolkit that automates the
exploitation of client-side vulnerabilities,
targeting browsers and programs that a website
can invoke through the browser.
![Page 27: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/27.jpg)
![Page 28: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/28.jpg)
![Page 29: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/29.jpg)
![Page 30: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/30.jpg)
CHAIN OF EVENTS
![Page 31: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/31.jpg)
PRELIMINARY MALWARE ANALYSIS
![Page 32: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/32.jpg)
![Page 33: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/33.jpg)
![Page 34: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/34.jpg)
![Page 35: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/35.jpg)
HIGHLIGHTS FROM THE TRAFFIC
![Page 37: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/37.jpg)
EXERCISE
CHANITOR/VAWTRAK MALSPAM - SUBJECT: E-
TICKET FROM AMERICAN AIRLINES
![Page 38: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/38.jpg)
TRAFFIC FROM INFECTED VM
![Page 39: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/39.jpg)
SNORT EVENTS FROM INFECTED VM
![Page 40: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/40.jpg)
PRELIMINARY MALWARE ANALYSIS
![Page 42: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/42.jpg)
使用工具
Python
Python是一種物件導向、直譯式的電腦腳本語言,具有近二十年的發展歷史。它包含了一組功能完備的標準庫,能夠輕鬆完成很多常見的任務。
Library: dkpt
Library: Scapy
![Page 43: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/43.jpg)
困難點
大量的封包數據,耗費時間。
通道已被加密,難以得知內容。
Encrypted Packet Flow
HTTPS
硬體工具效能障礙。
10/100M vs 1G
![Page 44: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/44.jpg)
INTRUSION PREVENTION SYSTEM
Signature-Based Detection
Hash-Based Detection
Sandbox-Based Detection
![Page 45: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/45.jpg)
CASE
案例分析
受駭電腦,變成中繼站。
![Page 46: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/46.jpg)
Maltego 是一套網路情報
與偵察應用工具,提供探勘與蒐集資訊的能力,並將這些資訊用容易解讀的方式表現出來。Maltego 可以做到將蒐集到的相關資訊—網路、組織、個人—彼此做對應,以便讓使用者進行識別,且更為容易看出各實體的交集點。 免費版的節點顯示數目上限為 12 個,而付費版最多可至一萬個。
![Page 47: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/47.jpg)
惡意程式資料庫
Maltego
![Page 48: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/48.jpg)
PASSIVETOTAL
https://www.passivetotal.org
![Page 49: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/49.jpg)
AUTOMATER Automater is a URL/Domain, IP Address, and Md5 Hash OSINT tool aimed at
making the analysis process easier for intrusion Analysts. Given a target
(URL, IP, or HASH) or a file full of targets Automater will return relevant
results from sources like the following: IPvoid.com, Robtex.com,
Fortiguard.com, unshorten.me, Urlvoid.com, Labs.alienvault.com,
ThreatExpert, VxVault, and VirusTotal.
https://github.com/1aN0rmus/TekDefense-Automater
![Page 50: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/50.jpg)
THREATCROWD
https://www.threatcrowd.org/
![Page 51: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/51.jpg)
PROS&CONS
優點
擴大惡意活動輪廓
可作為網路監控之自建資料庫
缺點
依賴線上資料庫提供資訊
資料量過於龐大
![Page 52: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/52.jpg)
時代在進步-DROPBOX
![Page 53: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/53.jpg)
時代在進步-GOOGLEDRIVE
![Page 54: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/54.jpg)
駭客攻防封包解析
![Page 55: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/55.jpg)
網站密碼猜測封包解析(1)
練習
使用Wireshark 打開Brute_dict.pcapng
找出登陸成功的帳號與密碼
http://ppt.cc/ayJtt
55
![Page 56: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/56.jpg)
網站密碼猜測封包解析(1)
練習
答案
56
![Page 57: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/57.jpg)
網站SQL INJECIOTN攻擊封包解析
練習
使用Wireshark 打開sqlIIIIII.pcapng
找出受攻擊的網站
找出具有SQLI漏洞的程式與參數
http://ppt.cc/jzxTx
57
![Page 58: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/58.jpg)
網站SQL INJECIOTN攻擊封包解析
練習
答案
58
![Page 59: 台科大網路鑑識課程 封包分析及中繼站追蹤](https://reader034.fdocuments.net/reader034/viewer/2022050712/58ee2e171a28ab6c018b4599/html5/thumbnails/59.jpg)
Q&A